如果你用游戏主机玩在线游戏,并且厌倦了看到来自……的消息 严格的NAT类型、连接问题或语音聊天断断续续。可能有人跟你说过:“把主机放到DMZ里,一切就都解决了。” 没错,这样做确实能解决很多问题,但也存在安全隐患,在对路由器进行任何操作之前,你应该了解这些隐患。
为游戏主机设置DMZ并不复杂,关键在于知道如何设置。 DMZ 究竟有什么作用?它与开放端口或使用 UPnP 有何不同?何时适合使用它,何时最好避免使用它,以及如果例如您家中有交换机、网状网络系统或第二个路由器,它会对您的网络产生什么影响。
什么是DMZ?它如何帮助你使用游戏主机?
在家用路由器上,DMZ(非军事区)功能基本上是一个选项,它允许…… 所有来自互联网且没有特定规则的入站流量 重定向到本地网络上的单个设备。该设备可以是游戏主机、PC、服务器,甚至是另一个路由器。
当您将游戏主机放置在 DMZ 中时,路由器会像对待所有端口一样对待它。 无需逐场配置端口转发规则也不依赖 UPnP 的正常运行。对于 客厅游戏机 (PlayStation、Xbox、Nintendo Switch)由于系统相对封闭,这种风险总体上是可以控制的。
这种行为非常有用,因为许多在线游戏使用动态或文档不完善的端口组合,而一些服务(例如 P2P 语音聊天或游戏托管)则需要这样做。 其他玩家可以不受 NAT 限制地连接到您的游戏机。这就是非军事区能够发挥作用的地方。
然而,需要明确的是: 家用路由器上的DMZ与企业DMZ并不相同。在专业领域,人们会谈论子网和多重防火墙。而在家用路由器上,菜单中的“DMZ”通常只是一个接收所有没有其他规则的入站流量的“兜底”区域。
DMZ 和 NAT:为什么主机报错?
在您的家中,所有设备共享同一个公网 IP 地址。路由器负责在该公网 IP 地址和其他设备 IP 地址之间进行转换。 借助 NAT(网络地址转换),您可以为设备获取私有 IP 地址。当你的游戏主机与游戏服务器建立连接时,一切都会顺利运行,因为路由器会记住是谁打开了每个连接,并知道如何返回响应。
当外部玩家尝试直接连接到你的游戏主机时,例如当你创建游戏、发起P2P语音聊天或游戏需要特定的传入流量时,就会出现问题。在这种情况下,如果路由器没有设置相应的规则, 它不知道应该将到达特定端口的连接转发到哪个设备。 并丢弃该数据。控制台会检测到这种情况,并根据品牌将 NAT 标记为严格模式或类型 3、C、D 或 F。
一般来说,游戏主机通过这种方式对情况进行分类,以帮助用户了解情况:
- 开放式 NAT(PlayStation 类型 1/2、开放式 Xbox、Switch A/B)您可以通过互联网访问所需的端口,您可以加入任何游戏、创建房间并与任何人进行语音聊天。
- 中等NAT。 你可以玩,但是 您在与同样受到限制的用户建立联系时会受到限制。主持游戏或频繁使用聊天功能可能会变成一件非常麻烦的事情。
- 严格意义上的NAT。 你只能和 NAT 类型开放的玩家配合良好;当游戏人数过多或出现任何问题时,你通常会是第一个退出房间的人。
DMZ 是从中等/严格 NAT 到 DMZ 的最快方法之一 无需手动逐个打开端口即可打开NAT情况没有好转。 既不延迟也不加速但它确实消除了许多连接障碍和错误。
使用DMZ对游戏主机有哪些优势
在游戏领域,DMZ最大的优点在于: 它大大简化了网络设置。如果将路由器的 DMZ 专用于您的游戏主机(并且仅用于该游戏主机),您将获得几个明显的益处。
一方面,游戏机现在拥有 所有可用于入站流量的端口 (已转发到其他设备的流量除外)。这消除了对 UPnP 功能是否正常、手动规则以及了解每个多人游戏使用哪些端口的依赖。
此外,许多用户反映某些游戏存在延迟、加入比赛时出错或频繁断线等问题。 一旦将主机放置在非军事区,它们就能立即流畅运行。尤其是在小型地图、比赛或玩家之间有很多直接互动的模式中,这种变化会非常明显。
从实际安全角度来看,像 PlayStation、Xbox 或 Switch 这样的现代游戏主机…… 他们拥有封闭的、功能相当有限的操作系统,并带有内部防火墙。这大大降低了 DMZ 暴露的漏洞对您的家庭网络造成严重问题的可能性,这与通用 PC 的情况截然不同。
另一个有趣的优势是,DMZ简化了一些高级场景。例如,当你想 将您自己的中立路由器连接到运营商路由器的后面。 而且你没有桥接模式。在这种情况下,打开主路由器的DMZ并将其指向第二个路由器,可以减少实际的双重NAT,并避免在两个不同的设备上串联端口规则。
设立非军事区的缺点和风险
主要问题在于安全性。启用DMZ后,您…… 将设备直接暴露在互联网上如果没有路由器通常应用的端口过滤,设备上开放的任何端口都将可以从外部访问,从而吸引自动扫描和攻击。
如果将游戏主机放置在DMZ中,风险基本可控;但如果您决定将PC、服务器或配置不当的服务的计算机放置在DMZ中, 攻击面射击在电脑上,很容易发现过时的软件、不必要的服务或无法承受这种程度风险的薄弱配置。
另一个敏感点是…… DMZ 应该始终指向静态 IP 地址如果您将游戏机或设备设置为自动 DHCP,而 IP 地址发生更改,路由器仍会将所有传入流量发送到旧地址,而该地址可能已被其他连接的设备使用。这可能会造成严重的安全漏洞,而您可能并未察觉。
值得注意的是,国内非军事区通常允许 一次只有一台设备如果为游戏主机启用 DMZ,其他设备将无法再使用该快捷方式。
最后,虽然DMZ本身通常不会消耗额外资源,但如果暴露的设备接收到 高流量会占用大量带宽。 可供访问,并影响网络上的其他设备。这种情况并不常见,但如果存在暴力破解攻击、密集扫描或大量 P2P 流量,则可能会发生。
什么情况下不应该使用非军事区?
在以下几种情况下,您应该三思而后行,因为 显然,天平向风险方倾斜。.
最明显的例子是…… 易受攻击或过时的设备如果你要暴露一台老旧的电脑、一台安装了未打补丁软件的服务器,或者一些你没有及时更新的设备,那么你使用 DMZ 的目的就是将它们暴露出来,并向互联网宣布它们可以被测试。
另一个常见问题是 网络分段不足在许多家庭中,所有设备都在同一个子网内:工作电脑、带有备份的 NAS、IP 摄像头、手机等等。如果 DMZ 中的某个设备遭到入侵,并且能够“看到”局域网的其他部分,那么它就可能成为访问更多敏感数据的入口。
你还必须非常小心…… DMZ本身配置错误输入 IP 地址时出错、静态 DHCP 分配错误或对暴露的接口理解错误都可能导致打开比预期更多的设备,或者将 DMZ 指向错误的设备。
最后,当您需要远程访问网络上的资源(例如,从家外访问 NAS 或计算机)时,DMZ 并非最佳解决方案。在这些情况下, 配置正确的 VPN 它提供了更高的安全性。
用于主机和PC在线游戏的DMZ
在电子游戏世界中,非军事区几乎总是用于实现一个非常具体的目的: 避免严格的 NAT 问题、比赛托管问题和语音聊天中断。对于游戏主机来说,这是一种非常常见的解决方案;但对于PC来说,情况则完全不同。
如果您希望您的 PlayStation、Xbox 或 Nintendo Switch 无缝连接、创建房间、聆听和与所有玩家交谈,并减少匹配错误,那么将其置于 DMZ 中通常是最佳解决方案。 比手动为每个服务打开端口更方便当您不知道每款游戏使用哪些端口,或者您的路由器的 UPnP 功能仅部分正常工作时,它尤其有用。
然而,许多专家强烈建议不要在台式机或笔记本电脑上打开DMZ。除非你拥有…… 配置完善的系统防火墙,并确切了解您正在暴露什么。个人电脑比游戏机功能更强大,因此拥有更多的软件、更多的后台服务,而且通常来说,出现故障的几率也更大。
如果您决定为游戏主机使用DMZ,那么您的首要任务应该是确保: 没有其他关键设备共享该 IP 地址或依赖于同一不受控制的 IP 地址范围。如果你用电脑玩在线游戏,通常最好只开放必要的端口。或者偶尔使用UPnP,不需要时就禁用它。
有很多案例表明,某些游戏对网络要求非常高,会导致游戏启动时出现细微的卡顿或问题。 他们几乎立刻就停止失败了。 当主机位于 DMZ 后面时,尤其是在玩家之间有很多直接交流的情况下,这种差异就很明显了。
在PC上进行DMZ、防火墙和VPN测试
除了电子游戏之外,非军事区还用于 审核防火墙或设备的安全性 VPN如果你想通过互联网查看服务器或计算机上实际暴露了哪些端口,最简单的方法是将其置于路由器的 DMZ 中。
如果路由器没有过滤该设备的任何端口,那么从外部扫描时看到的所有开放端口都会受到影响。 这完全取决于计算机的本地防火墙。这样一来,您可以调试规则、查找不必要的暴露服务,并微调您希望从外部访问的内容。
某些 VPN 协议,例如 IPsec,需要 多个不同的端口打开 如果NAT链中的某些环节阻塞了部分流量,就会引发问题。在这种情况下,暂时启用指向VPN服务器的DMZ有助于排除端口或NAT问题。
思路很简单:启用DMZ,测试VPN是否能从外部正确连接,验证涉及哪些特定端口,一旦确认无误, 再次关闭DMZ,只打开必要的端口。 通过转发规则。这是一种既能隔离问题又不会让团队长期处于无懈可击状态的实用方法。
值得强调的是,大多数家用路由器默认情况下都具备以下功能: 如果没有端口转发规则,所有入站端口都将关闭。DMZ 会故意破坏这种保护,因此只能用作临时诊断工具或与高度控制的设备一起使用。
非军事区内的交通监控与分析
DMZ的另一个有趣用途,在高级或半专业环境中更为常见,是: 监控进出暴露服务的网络流量通过将可见服务器放置在单独的区域,可以更轻松地分析正在发生的事情。
一个设计良好的DMZ会采用专门的数据包捕获和分析工具,也称为 嗅探器或协议分析器这些程序会将每个数据包分解:源 IP 地址、目标 IP 地址、端口、协议和内容,从而可以检测出可疑或直接可疑的模式。
除了实时可视化之外,许多监控解决方案还具备以下功能: 历史记录和存储这对于回顾过去的事件、研究已经发生的攻击或调试仅间歇性出现的配置错误非常有用。
最先进的系统并非仅仅显示原始数据:它们采用 算法乃至人工智能 区分正常流量和异常行为。凭借清晰的图形界面,管理员可以轻松地立即识别异常峰值、大规模扫描或攻击企图。
由于非军事区通常是许多攻击首先落脚的地方,因此通常会将这些工具与……结合使用。 入侵检测与防御系统(IDS/IPS)这样一来,你不仅可以看到异常情况的发生,还可以自动执行响应来阻止攻击或隔离受影响的团队。
在企业和专业网络中使用DMZ
在企业界,DMZ 的概念远不止客厅里的路由器那么简单。这里,我们指的是…… 公共设施所在的独立且保护良好的子网络例如网页、邮件服务器、外部身份验证系统或面向客户端的 API。
该区域的主要功能是作为 互联网与公司内部网络之间的中间层防火墙严格控制哪些流量可以从互联网流向 DMZ,以及哪些连接可以从 DMZ 连接到内部 LAN,敏感数据和关键系统就位于内部 LAN 中。
采用这种架构,如果攻击者设法攻破了 DMZ 中的服务器,原则上,损害将仅限于 DMZ 内。 该隔离子网络内的内容它对内部数据库、员工设备或财务管理系统没有完全的控制权。
这种方法增加了 额外提供一层保护,防止数据泄露、未经授权的访问和网络钓鱼攻击只向客户展示他们真正需要的服务,而其他所有服务仍然需要额外设置障碍。
在对安全性要求较高的公司中,DMZ 通常会与其他安全措施结合使用,例如 VLAN 分段、来自不同供应商的多个防火墙以及严格的最小暴露策略,所有这些措施的目的都是为了: 尽可能使任何入侵企图都变得困难。.
DMZ、双重NAT和路由器变更
在光纤连接中,运营商安装的路由器通常是…… 功能有限、Wi-Fi 性能差或配置方面受到很大限制许多用户选择购买性能更好的第三方路由器,并将其连接到网络服务提供商的路由器之后。
问题在于,如果运营商的设备不允许在桥接模式下进行配置,或者不提供 ONT 凭证,你就只能接受现状了。 两台路由器依次执行NAT操作这被称为双重 NAT,它大大增加了端口转发和在游戏主机上获得开放 NAT 的难度。
在这种情况下,DMZ 是一种可以接受的变通方案:你需要配置 ISP 的路由器,以便 DMZ 应该指向中立路由器的 WAN IP 地址。这样,所有传入流量都会直接传输到第二个路由器,然后您可以更自由地管理端口、UPnP 和其他设置。
如果没有DMZ,要向连接到中立路由器的PC或游戏机开放端口,您必须…… 两个路由器上的链式规则主路由器到辅助路由器之间建立一条连接,辅助路由器到最终设备之间也建立一条连接。使用DMZ,您只需管理第二条连接即可。
但是,如果您对竞技性在线游戏感兴趣,也值得查看您的运营商是否使用 CG-NAT,多个客户端共享一个公共 IP 地址如果真是这样,即使你完美地配置了网络,也无法获得真正的开放式 NAT;在很多情况下,你可以请求退出 CG-NAT 以获得自己的公网 IP 地址。
如何在家用路由器上打开DMZ
虽然每个制造商都有自己的菜单,但设置家庭DMZ的一般逻辑通常非常相似: 首先设置设备的 IP 地址,然后通过指向该 IP 地址来激活 DMZ 功能。保持秩序很重要,这样才能避免把事情搞砸。
第一步是确定你拥有的路由器型号, 如何访问您的管理面板默认访问 IP 地址、用户名和密码通常位于设备底部的标签上。如果标签上没有这些信息,您可以查看电脑或移动设备上的默认网关,并尝试使用“admin/admin”等常用凭据,除非您的互联网服务提供商已更改过这些信息。
进入控制面板后,您有两种方法可以确保控制台或设备的 IP 地址不会更改。 您可以在设备上直接配置静态 IP 地址。你可以使用路由器自动 DHCP 范围之外的地址,或者使用路由器的静态 DHCP 选项,使其始终将相同的 IP 地址分配给相同的 MAC 地址。
一旦你获得了保证的 IP 地址,就可以开始查找 DMZ 设置了。根据路由器的不同,它可能出现在类似这样的设置中: 防火墙、安全、NAT、虚拟服务器、应用程序和游戏 或者在高级端口设置中。例如,在某些华硕设备上,典型的路径是 WAN > DMZ。
在DMZ表单中,您激活该功能,然后输入 您要公开的设备的私有 IP 地址 保存更改。配置生效后,没有特定规则的入站流量将直接转发到该 IP 地址。
DMZ真的会开放所有端口吗?
虽然非军事区经常被描述为“开放一切”,但实际上却存在一个重要的细微差别: 特定的端口转发规则优先于非军事区规则。换句话说,如果您已经将端口转发到另一个 IP 地址,则该规则优先。
大多数家用路由器内部都使用基于 Linux 的系统,并借助 iptables 来管理防火墙和 NAT。在这些规则链中, 端口转发条目会在通用DMZ规则之前处理。只有当没有匹配的端口时,流量才会发送到DMZ IP地址。
这意味着你可以拥有,例如: 打开特定端口的 Web 服务器或 NAS。 与此同时,DMZ 中的控制台正在接收其余流量。该服务器的端口不会被转发到控制台,因为其规则优先。
总之,尽管制造商已经大大简化了配置界面,但这并不能改变以下事实: 启用非军事区仍然是一项精细的操作。如果您决定使用此功能,请务必确保暴露的设备保持其自身的防火墙处于活动状态并保持最新状态。
此外,建议定期检查该计算机上运行的服务和软件。这是因为 端口扫描和漏洞利用尝试层出不穷。 在互联网上,即使是看似微不足道的家庭连接也是如此。
DMZ 和 IPv6 协议
当我们进入 IPv6 时代,一些规则与我们习惯的 IPv4 相比发生了变化。 不使用传统NAT;每个设备都有一个唯一的全球地址。 除非被防火墙阻止,否则可以直接从互联网访问。
要在 IPv6 中设置类似 DMZ 的区域,您需要使用 IPv6 而不是 NAT。 子网分段和精细调整的防火墙规则至少需要多个 /64 子网,因为每个区域(内部 LAN、DMZ 等)都必须有自己的子网。
你通常会向运营商申请一个更大的区块,例如 /56 或 /48,这样你就可以…… 将其除以 64 倍:一个用于主要内部网络,一个用于非军事区,以及用于未来扩展或特定区域的附加网络。
在这种情况下,不存在“通过NAT”建立的DMZ,而是在防火墙中定义允许哪些流量从Internet流向DMZ子网。 哪些流量可以从DMZ传回LAN?这是一种更简洁、更强大的方法,但也需要更多的知识。
和以往一样,关键在于防火墙规则。您需要…… 仅允许必要的端口访问DMZ服务器 尽可能限制从非军事区向内部发起的连接,并遵循最小权限原则。
为游戏主机连接设置DMZ可以非常有效地解决严格的NAT问题、游戏无法启动或语音聊天不稳定等问题。但必须谨慎操作。正确使用DMZ,它将成为您网络工具包中的实用工具,而不是您数字家园的永久后门。
